🥇Nftables Packet Filter 1.0.6 издание

Изданието на филтъра за пакети nftables 1.0.6 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни промени:

В оптимизатора на правилата, извикан при посочване на опцията "-o/--optimize", е настроено автоматично пакетиране на правила чрез комбинирането им и преобразуването им в списъци с карти и набори. Например правилата са # cat ruleset.nft table ip x { chain y { type filter hook input priority filter; спад на политиката; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 приемане на meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 приемане на meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0/24 приемане на meta iifname eth1 ip saddr 1.1.1.2 .2.2.4.0 ip daddr 2.2.4.10-2 accept meta iifname eth1.1.1.3 ip saddr 2.2.2.5 ip daddr 4 accept } } след "nft -o -c -f ruleset.nft" ще бъде преобразуван в следното: набор от правила. nft:17:74-1: мета iifname eth1.1.1.1 ip saddr 2.2.2.3 ip daddr 5 приема правила.nft:17:74-1: мета iifname eth1.1.1.2 ip saddr 2.2.2.4 ip daddr 6 приема правила.nft: 17:77-1: meta iifname eth1.1.1.2 ip saddr 2.2.3.0 ip daddr 24/7 приема ruleset.nft:17:83-1: мета iifname eth1.1.1.2 ip saddr 2.2.4.0 ip daddr 2.2.4.10-8 приема ruleset.nft:17:74-2: meta iifname eth1.1.1.3 ip saddr 2.2.2.5 ip daddr 1 прием в: iifname . ip saddr. ip daddr {eth1.1.1.1. 2.2.2.3. 1, eth1.1.1.2. 2.2.2.4. 1, eth1.1.1.2. 2.2.3.0. 24/1, eth1.1.1.2 . 2.2.4.0. 2.2.4.10-2, eth1.1.1.3. 2.2.2.5. XNUMX } приемам
Оптимизаторът може също така да кондензира правила, които вече използват прости списъци с набори, в по-компактна форма, като например: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; спад на политиката; iifname "lo" приемам ct състояние установено, свързано приемам коментар "В трафика, който произхождаме, ние вярваме" iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 приемам iifname "enp0s31f6" ip saddr { 64.59.144.17, 64.59.150.133 } ip daddr 10.0.0.149 udp sport 53 udp dport 32768-65535 accept } } след стартиране на "nft -o -c -f ruleset.nft" ще бъде пакетиран така : ruleset.nft:6:22-149: iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 приемете ruleset.nft:7:22 -143 0 : iifname "enp31s6f64.59.144.17" ip saddr { 64.59.150.133, 10.0.0.149 } ip daddr 53 udp sport 32768 udp dport 65535-0 прием в: iifname . ip saddr. ip daddr. udp спорт. udp dport { enp31s6f209.115.181.102 . 10.0.0.149. 123. 32768 . 65535-0, enp31s6f216.197.228.230. 10.0.0.149. 123. 32768 . 65535-0, enp31s6f64.59.144.17. 10.0.0.149. 53. 32768 . 65535-0, enp31s6f64.59.150.133. 10.0.0.149. 53. 32768 . 65535-XNUMX } приемам
Разрешен е проблем с генерирането на байт код за интервали на сливане, които използват типове с различен endian, като IPv4 (мрежов endian) и метамаркировка (system endian). таблица ip x { map w { typeof ip saddr. мета маркировка: присъда флагове интервал брояч елементи = {127.0.0.1-127.0.0.4. 0x123434-0xb00122: приемам, 192.168.0.10-192.168.1.20. 0x0000aa00-0x0000aaff : приемам, } } верига k { тип филтър кука входен приоритет филтър; спад на политиката; ip saddr. мета маркировка vmap @w } }
Подобрени съпоставяния на редки протоколи при използване на необработени изрази, например: meta l4proto 91 @th,400,16 0x0 accept
Коригирани проблеми с разрешаване на правила на интервали: вмъкнете правило xy tcp sport { 3478-3497, 16384-16387 } counter accept
JSON API е подобрен, за да поддържа изрази в списъците с набори и карти.
В разширенията на библиотеката на nftables python, наборите от правила могат да бъдат заредени за обработка в режим на проверка ("-c") и е добавена поддръжка за дефиниране на външна променлива.
Добавянето на коментари е позволено в елементите на сет-списъци.
Позволено е да се укаже нулева стойност в ограничението на скоростта на байтовете.

Източник: opennet.ru

nftables пакетен филтър версия 1.0.6

Добавяне на нов коментар

nftables пакетен филтър версия 1.0.6

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар